Bilgi sistemlerinde en önemli konulardan biri kuşkusuz yetkilendirmedir. Yetkilendirme bir kullanıcının belirli bir kaynağa erişimi olup olmadığını kontrol eder. Kullanıcının kimlik bilgilerinin geçerliliği en az nereye erişileceği kadar önemlidir. Kimlik bilgilerinin, kullanıcıların gerçek kimlikleriyle eşleştirilmesi yetkilendirme ve iz açısından kritiktir. Bu sebeple kimliklerin yaratılması, değişik rollere bürünmesi ve görevi tamamlandığında ortadan kaldırılması bir süreç olarak ele alınmalı ve sürecin güvenliği ve güvenilirliği sağlanmalıdır. Bu sürece kimlik yaşam döngüsü adı verilir.
Günümüz teknolojilerini kullanan bir iş eri için yeni bir kişi işe başladığında bilgi sistemlerine erişmesi kaçınılmazdır. Çoğu zaman bir veya birden fazla sistem üzerinde kişiye ait tanımlama yapılması gereklidir. Sistemler entegre olmadığında bu tanımlamalar birbirinden bağımsız birimler tarafından değişik sistemler üzerinde yapıldığından takip edilmezler. Kullanıcı kimlik yaşam döngüsü boyunca değişik ihtiyaçlara cevap verecek şekilde yapılandırılmış olsada eski sistemlerdeki yetkileri ve özellikleri çoğu zaman olduğu gibi kalır. Bu durum kimi durumlarda güvenlik ihlallerine yol açar. Örneğin kişi işten ayrılsa da uzaktan postalarına erişmeye devam eder ve kurum adına posta alıp atabilir. Bazen bu kurum kimliği açısından sakıncalar doğurabilir ve engellenmelidir.
Yukarıda anlatılanları Microsoft dünyasından daha somut örneklerle açıklayalım. Bir kullanıcı işe başladığında personel sisteminde kaydı yapılır. Bu aşamadan sonra eğer işyerinde Microsoft Aktif Dizin kullanılıyorsa bu sistem üzerinde kaydının yapılması, belirli dosya sistemleri üzerinde yetkiler verilmesi, e-postasının tanımlanması gereklidir. Kişi özlük bilgileri değiştikçe bunların gerek kullanıcı nitelikleri gerekse yetkilendirmeleri olarak Aktif Dizinde güncellenmesi ve kişi işten ayrıldığında güvenlik politikaları gereği kullanıcısının kapatılması ve erişim yetkilerinin kendisinin yerine gelen kullanıcıya devredilmesi gereklidir. Buradaki işlemler çoğu zaman atlanır ya da düzgün bir şekilde yapılmadığından ya veriye erişim kaybı ya da güvenlik zaafiyeti oluşabilir.
Bu sorunun çözümü için birden fazla alanda önlem alarak kimlik yaşam döngüsü kontrol altına alınabilir. Öncelikle Aktif Dizin üzerinde kurumsal hiyerarşiye göre gruplar oluşturulmalıdır. Örneğin Personel Başkanlığı kullanıcıları gibi. Daha sonra ilgili müdürlük kullanıcıları grupları bu daire Başkanlığı grubuna eklenmelidir. Bu şekilde devam edildiğinde bir ağaç yapısı elde edilmiş olur. Bu yapının son noktasındaki (yaprakları) gruplara kullanıcılar eklenmelidir.
Dosya sistemi üzerinde yine erişim gereksinimlerine göre paylaşımlar ve klasörler oluşturulmalıdır. Bu klasörlerin dağıtık yapıda tutulması ve takip edilmesi zor bir iştir. Kullanıcıların bu erişimleri sanal bir dizin ağacı içinde oluşturulabilir. Bu ağacın oluşturulmasında Distributed File System (DFS) namespace özelliğinden yararlanılabilir. Hatta terfi ve tayin durumlarında kullanıcı dosyalarının fiziksel olarak bulunduğu yerler kullanıcıya haber verilmeden kendisine yakın olacak şekilde aynı sistem içerisinde kopyalanabilir. Bu da DFS replication ile sağlanabilir. Kullanıcı yetkilendirmeleri kişisel klasörler hariç her zaman gruplarla yapılmalıdır. Böylece kullanıcı terfi edildiğinde sadece grupları değiştirilerek yetkileri de kendisine parallel olarak taşınmış olur.
Benzer bir durum Sharepoint Server 2010 üzerinde birim portalleri ve doküman kütüphaneleri ile sağlanabilir. Aynı şekilde Exchange Server 2010 üzerindeki adres listeleriyle de yapılabilir. Kullanıcının terfi sonrasında attığı mesajların otomatik olarak kriptolu atılması sağlanabilir. Hatta Outlook 2010 ile kullanıcının bu hiyerarşik modeli bir ağaç görüntüsü olarak takip etmesi ve mesaj atacağı kişiyi rolüne göre bulması ve eğer varsa resimine bakması bile mümkündür.
Bu kadar çok özelliği kullanmak bilginin takip edilmesi ve güncellenmesi sorumluluğunu da beraberinde getirmektedir. Bu noktada bütün yapılanları bir araya getirmek için bir senkronizasyon motorunun kullanılması gereklidir.Bu amaçla Microsoft’un bu alandaki ürünü Forefront Identity Manager 2010 (FIM 2010) kullanılabilir. Bu amaçla Management Agent (MA) olarak adlandırılan bağlantı noktları kullanılır. Personel veritabanında kullanıcı yaratıldığında ilgili MA otomatik olarak bunu algılanarak kendi bünyesine alır. Buradan tanımlanan iş kuralları çerçevesinde çerçevesinde Aktif Dizine ya da diğer dizinlerine ilgili MA’lar üzerinden aktarılarak (örneğin kapı giriş sistemleri) ilgili kimlik ve yetkiendirmeler aktarılır. Kullanıcı terfi gördüğünde yada özlük bilgileri değiştiğinde (örneğin soyadı değişikliğinde) sistem tarafından bu bilgiler algılanılarak otomatik olarak bütün sistemlerde güncellemeler yapılabilir. Bu işleme Attribuet Flow adı verilir ve hangi sistemlere hangi niteliklerin aktarılacağı sistem özellikleri üzerinden belirlenebilir. Böylece örneğin Adana biriminde çalışan bir kullanıcı İzmir’e tayin olduğunda hem hendi kişisel dosyaları Adana’dan İzmir’e otomatik olarak taşınabilir, hem de yetkilendirmeleri Adana birimindeki kaynaklara erişimi kapatarak, İzmir’e açılabilir. Özelliklerinin değişmesine bağlı olarak bağlı olduğu gruplar güncellenebilir. Aynı şekilde kullanıcının rolleri değiştiğinde grup üyelikleri değiştirilerek hem Internet’e çıkış yetkilendirmesi (gidebileceği siteler, erişim saatleri vs) hem Exchange posta sistemindeki kotası hem OCS ile anında mesajlaşma özellikleri değiştirilebilir. Bunların yanında diğer sistemlerde kullanıcının tanımlanması ve özelliklerinin değiştirilmesi de bu otomatik sistem üzerinden yapılabilir. Örneğin kapı giriş sistemleri üzerindeki tanımlamalarla kullanıcının bina içinde geçiş yapabileceği yerler otomatik olarak belirlenebileceği gibi telefon santralleri entegrasyonu ve uygun telefonlarla kullanıcı telefonu kaldırdığında hangi numarayı arayacağını değil, Aktif Dizindeki bilgilere göre kimi arayabileceğini seçebilir. Uygun görüldüğü durumlarda kullanıcının parolası da aynı sistem içerisinden diğer sistemlerle senkronize edilebilir. Ayrıca kullanıcının parolasını unutması durumunda Windows ile entegre bir parola sıfırlama arayüzü kullanılabilir. Bunun için önce kullanıcının sadece kendisinin bildiği bilgiler arayüz üzerinden sisteme girilir. Kişi parolasını unuttuğunda bu veriler sorgulandıktan sonra parolasının değiştirilmesi ya da müdürüne yollanması gibi alternatifler uygulanabilir.
Kimlik yaşam döngüsü güvenliğin takip edilmesi ve kurumsak güvenlik politikalarının sağlıklı bir şekilde uygulanabilmesi için son derece önemlidir. Kurumsal ortamda uygulanabilecek teknik önlemler ve bunların birbirleriyle bağlantılı çalışmasıyla hem yönetim maliyeti düşürülmüş, hem de kurumsal güvenlik bütün olarak ele alındığından ciddi şekilde arttırılmış olur.
Son Yorumlar